image

NCSC adviseert uitschakelen ssl 2.0 en upgraden OpenSSL

woensdag 2 maart 2016, 16:43 door Redactie, 8 reacties

Naar aanleiding van de DROWN-aanval op versleutelde https-verbindingen die gisteren werd onthuld heeft het Nationaal Cyber Security Center (NCSC) advies uitgebracht waarin it-beheerders, it-managers en informatiebeveiligers wordt opgeroepen om ssl 2.0 uit te schakelen en OpenSSL te upgraden.

De DROWN-aanval maakt gebruik van een kwetsbaarheid in het ssl 2.0-protocol, dat nog altijd door veel servers wordt ondersteund. Daarnaast kunnen servers die een kwetsbare versie van OpenSSL gebruiken op dezelfde manier worden aangevallen, ongeacht of ze ssl 2.0 ondersteunen. Een aanvaller die het met tls-versleutelde netwerkverkeer tussen een server en gebruiker weet te onderschappen kan via de aanval proberen om de versleutelde informatie te achterhalen.

Het NCSC adviseert om tls altijd te configureren op basis van de ict-beveiligingsrichtlijnen voor dit encryptieprotocol. "Schakel daarom ssl 2.0 uit, installeer de recentste updates van OpenSSL en geef op servers de voorkeur aan cipher suites op basis van forward secrecy", aldus een vandaag gepubliceerde factsheet (pdf). Volgens het NCSC zou het uitschakelen van ssl 2.0 op servers geen negatieve gevolgen moeten hebben voor de werking van ict-systemen. Daarnaast wordt het hergebruik van geheime sleutels tussen servers afgeraden, aangezien beveiligde verbindingen ook op deze manier kunnen worden aangevallen.

Vanwege de DROWN-aanval kwamen ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) met een waarschuwing, waarin ook wordt aangeraden om ssl 2.0 uit te schakelen en encryptiesleutels niet te hergebruiken. Naar schatting zou 33% van alle https-servers op het internet voor de nieuwe aanval kwetsbaar zijn.

Reacties (8)
02-03-2016, 16:48 door Anoniem
Verbazingwekkend hoeveel devices vanaf het Internet nog ondersteuning voor SSLv2 geven. Een snelle zoekopdracht bij shodan.io levert 65080 unieke IP-adressen in Nederland op. Volgens mij was vorig jaar al ergens het advies gegeven om te stoppen met SSLv3.
02-03-2016, 17:44 door Anoniem
Door Anoniem: Verbazingwekkend hoeveel devices vanaf het Internet nog ondersteuning voor SSLv2 geven. Een snelle zoekopdracht bij shodan.io levert 65080 unieke IP-adressen in Nederland op. Volgens mij was vorig jaar al ergens het advies gegeven om te stoppen met SSLv3.
Van hoeveel die apparaten achter de 65000 IP-adressen denken we dat het gebruik van SSLv2 een van de minste risico's is? Doordat het bijvoorbeeld apparaten zijn die je al niet aan het internet had moeten willen koppelen, zoals printers, nasjes, admin interfaces van soho routers of IOT-devices?
02-03-2016, 18:06 door Anoniem
complimenten voor die snelle beschikbaarheid van de factsheet.
02-03-2016, 19:44 door [Account Verwijderd]
[Verwijderd]
02-03-2016, 20:45 door Anoniem
Door MAC-user: Verbazingwekkend of niet, vandaag is er bij mij geüpgraded.

Hier evenzo. Een installatie van Exchange 2013 CU11 op Win2K12R2 heeft bij OWA (IIS dus) ook nog standaard SSLv2/3 aan staan. Evenals het RC4 cipher (ook als onveilig bestempeld icm met oudere encryptiemethoden). Hoe RC4 uit te zetten, zie deze link: https://social.technet.microsoft.com/Forums/en-US/faad7dd2-19d5-4ba0-bd3a-fc724d234d7b/how-to-diable-rc4-is-windows-2012-r2?forum=winservergen

Dit is ook de plek om SSLv2/3 uit te zetten overigens.
02-03-2016, 23:30 door Anoniem
Holy shit, NCSC is er snel bij.
Morgen @NCSC: geen FTP gebruiken en upgraden Windows 95...
Wat een reactieve bende zeg.
03-03-2016, 09:28 door Anoniem
Door Anoniem: Holy shit, NCSC is er snel bij.
Morgen @NCSC: geen FTP gebruiken en upgraden Windows 95...
Wat een reactieve bende zeg.

+1

gelukkig worden ze betaald door onze belastingcenten en komen ze met nieuws van een decennia terug
sslv3 wordt al overal als weak bestempeld door PCI-DSSv3 etc en allerlei ciphers maar onze overheid komt "NU AL" met de waarschuwing/tip om SSLv2 uit te zetten.
Dank je wel voor dit up to date nieuws!
De postduif is eindelijk ook geland in Den Haag zo te zien!
03-03-2016, 11:13 door Anoniem
Door Anoniem: Holy shit, NCSC is er snel bij.
Morgen @NCSC: geen FTP gebruiken en upgraden Windows 95...
Wat een reactieve bende zeg.
Beetje domme reactie, dit is een herhaling van verleden jaar. Toen werd al aangegeven SSL2 uit te schakelen. O ja, SSL3 ook al, alleen nog maar TLS1 en beter.
Edoch.. als een website een SSL2, SSL3 en TLS1 protocol aanbied zal een beetje slimme client automatisch voor TLS1 kiezen - de beste encryptie eerst.
Dus als je zelf een beetje slim bent, zet je de lagere protocollen uit.

Maar nog een overweging.. op een server SSL2 uitzetten en je hebt een client die alleen SSL2 aankan? SSL2 is denk ik beter dan geen encryptie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.